Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

VASTO : Outil pour tests d'intrusion des environnements cloud

VASTO : Outil pour tests d'intrusion des environnements cloud
2010-08-022013-02-11nouvelles technologiesfr
VASTO est un jeu d'outils permettant de tester le niveau de sécurité d'environnements virtualisés. Il s'intégre au framework...
Publié le 2 Août 2010 par Jean-François Audenard dans nouvelles technologies
Les tests d'intrusion on comme principal objectif d'éprouver la résistance d'un système contre des attaques. Dans ce genre d'exercice d'un type un peu particulier, l'équipe en charge de jouer le rôle de l'attaquant a une contrainte forte : Le temps mais surtout les outils et bien l'expérience de la personne qui effectue les tests.

Outils et tests de penetration

Un bon pen-testeur doit posséder une très bonne maitrise des technique d'attaques et une bonne dose d'inventivité. Dans sa trousse à outil, on y retrouve toute la panoplie du bon hacker : A chaque système ses outils. On ne teste pas des failles d'un serveur web de la même façon que pour un routeur !

Outil de test pour les environnements virtualisés
Pour être exact, il ne s'agit pas exactement d'un outil mais plutôt d'extensions à un outil incontournable pour tout pen-tester : Metasploit. VASTO (Virtualization ASsessment TOolkit ) vient enrichir metasploit avec différents "plugins" spécialement conçus pour les environnements virtualisés. Encore mieux qu'un outil "stand-alone" !

Au devant de la scène grâce aux journées "Black Hat USA 2010"

La publication de cet outil était jusqu'alors restée assez confidentielle : Celui-ci a été initialement présenté (slides, PDF) en mars 2010 lors de la réunion TROOPERS 2010 pour ensuite bénéficier d'une présentation aux journées Black Hat USA 2010. Cet outil avait d'ailleurs fait l'objet d'un article daté de mars 2010 dans SecuObs.

Systèmes de virtualisation propriétaires et opensource
Intéressant de noter que la dernière version (VASTO v0.3) publiée lors du Black Hat 2010 offre des fonctions pour des systèmes de virtualisation commerciaux mais aussi opensource : Aux cotés du mastodonte vmware, on retrouve des systèmes comme Abiquo, Eucalyptus et bien évidemment Xen.

Les interfaces d'administration sont à la fête

Un rapide passage en revue des modules proposés et l'ont peu se rendre compte d'une chose : Ce sont les interfaces d'administration (et les mots de passe d'accès à celles-ci) qui ont été sélectionnées comme "cibles". Les plus habitués d'entre-vous le savent déjà : Celles-ci sont des cibles de choix et sont malheureusement insuffisamment protégées.

Quelques screenshot pour se convaincre

Pour ceux qui souhaiterai avoir quelques détails sur cet outil avant de le tester par eux-mêmes, un article présentant, avec screenshots à l'appui, la version beta (article original en allemand ou traduit via Google).

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage